Создание политики веб доступа с помощью Forefront Threat Management Gateway TMG Beta 1 (часть 2)

Published on Февраль 13, 2009 by   ·   Комментариев нет

Если вы пропустили первую часть этой серии статей, перейдите по ссылке Создание политики веб доступа с помощью Forefront Threat Management Gateway TMG Beta 1 (часть 1).

В первой части этой серии статей мы рассмотрели опции настройки средств защиты от вредоносного ПО и принцип их работы с Forefront TMG. Функция защиты от вредоносного ПО является новой чертой, включенной в брандмауэр TMG, и на ее рассмотрение стоило потратить немного времени. В этой части серии статей о TMG Web Access Policy мы рассмотрим функции Web Proxy и веб кэширования.

В консоли брандмауэра TMG нажмите ссылку Настроить Web Proxy во вкладке Задачи в панели задач после того, как нажали на вкладке Политика веб доступа в левой панели консоли брандмауэра TMG. Это вызовет диалоговое окно свойств для внутренней сети, используемой по умолчанию. Здесь вы можете задавать параметры конфигурации для Web Proxy приемника во вкладке Web Proxy. Вы используете вкладку для установки типа аутентификации, который вы хотите поддерживать для исходящих подключений с этой сети брандмауэра TMG Firewall.

Хотя это очень удобно, в большинстве случаев у вас будет более одной «внутренней» сети за брандмауэром TMG, поэтому вам придется переходить по вкладке Сети в левой панели консоли, чтобы настраивать Web Proxy приемник для этих сетей брандмауэра TMG.

Tmg firewall методы атентификации

Рисунок 1

Когда вы нажимаете на ссылке Настроить веб кэширование во вкладке Задачи панели задач, у вас открывается диалоговое окно Параметры кэша. Это новое диалоговое, вместе с которым открывается много новых опций настройки, которые были расположены в различных местах в предыдущих версиях ISA Firewall. В диалоговом окне Параметры кэша вы можете настроить свои накопители КЭШа, правила кэширования, создавать задания загрузки содержимого и настраивать дополнительные параметры веб кэширования. Объединение всех этих параметров веб кэширования в одном диалоговом окне является очень удобным усовершенствованием, представленным в брандмауэре Forefront TMG.

На рисунке ниже показана вкладка Общие. Она показывает, что размер локального КЭШа в настоящее время составляет 100 MB. Здесь также есть ссылка на файл справки, в котором вы можете прочесть о том, как настраивать накопители кэша. Одной чертой в диалоговых окнах TMG, которая мне импонирует, является грамотная ссылка на содержимое файла справки и поддержки. А содержание файла справки даже на этом этапе бета версии очень хорошее.

Отключение диспетчера forefront tmg

Рисунок 2

Выберите вкладку Накопители кэша и увидите список дисковых накопителей кэша. Если вы выберите один из накопителей и нажмете кнопку Настроить, вы сможете изменять размер накопителя, или даже перемещать его на другой том при желании.

Как включить ssl на forefront tmg?

Рисунок 3

Выберите вкладку Правила кэширования. Здесь вы можете изменять существующие правила кэширования или создавать новые. Правило кэширования Microsoft Update Cache Rule — это специальное правило, позволяющее брандмауэру TMG поддерживать BITS кэширование. Хотя технически TMG поддерживает BITS кэширование, его правильная работа осуществляется только с сайтом Microsoft Update, поэтому вам необходимо убедиться, что вы не включили это кэширование для других правил. На самом деле при проверке этой характеристики на TMG, я заметил, что у вас даже нет возможности включать BITS кэширование для каких-либо других правил, поскольку эта опция неактивна.

Правило Web Access Scenario Cache Rule является правилом, которое создается, когда вы запускаете мастера Web Access Policy Wizard. Его настройка основывается на вашем выборе опций, когда вы запускаете мастера Web Access Policy Wizard, но это мы рассмотрим в следующей статье.

Правило по умолчанию (Default Rule) применяется ко всем остальным подключениям. В большинстве случаев, это правило будет таким же, как и правило Web Access Scenario Cache Rule. Помните, что правила кэширования определяют то, как содержимое будет записываться в кэш брандмауэром TMG, когда веб кэширование включено.

На этой вкладке у вас также есть опции Экспортировать или Импортировать правила кэширования.

Qos diffserv tmg

Рисунок 4

Если вы выберите правило Microsoft Update Cache Rule и нажмете кнопку Изменить, а затем перейдете по вкладке Дополнительно, вы увидите, что Разрешение кэширования содержимого, полученного через Background Intelligent Transfer Services (BITS) включена и неактивна, поэтому вы не можете отключить ее.

Diffserv in tmg

Рисунок 5

Задание загрузки содержимого (Content Download Job) позволяет вам предварительно загружать содержимое в кэш брандмауэра TMG. Например, если есть определенный сайт, содержимое которого вы хотите загрузить, прежде чем пользователи смогут получить доступ к сайту самостоятельно, вы можете создать задание загрузки содержимого, которое загрузит содержимое, и когда пользователи после этого пытаются получить доступ к содержимому, оно будет предоставляться им из КЭШа, что избавит от необходимости подключаться к удаленному веб серверу.

На рисунке ниже показано диалоговое окно, которое появляется, когда вы впервые пытаетесь создать новое задание загрузки содержимого. Оно позволяет сети локального хоста принимать запросы Web Proxy клиента. Это требуется для того, чтобы брандмауэр TMG мог служить в качестве источника запросов без зависимости от настроек внутренней сети, используемой по умолчанию.

Более подробно мы рассмотрим задания загрузки содержимого в одной из следующих статей на ISAserver.org.

Где взять forefront beta?

Рисунок 6

Во вкладке Дополнительно вы можете задавать параметры глобального КЭШа, включая:

  • Кэширование объектов, которые не имеют указанного времени последней модификации. Это позволяет брандмауэру TMG кэшировать информацию, которая не включает даты истечения срока годности. Длительность хранения этой информации будет определяться параметрами правила кэширования, которое применимо к данному объекту (HTML страница, графика и т.д.)
  • Кэшировать объекты, даже если у них отсутствует код статуса HTTP 200 Это позволяет записывать объекты в кэш, даже если HTTP 200 ответ (OK) не возвращается, например когда возвращаются ответы с кодами 203, 300, 301 и 410 (смотреть 10 Status Code Definitions)
  • Максимальный размер URL записываемого в память Это задает максимальный размер объекта, который может храниться в КЭШе памяти RAM. Необходимо убедиться в том, что этот размер не слишком большой, поскольку у вас ограниченный размер КЭШа RAM, а вам нужно иметь возможность сохранять максимальное количество информации. Значение по умолчанию вполне приемлемо.

Есть и другие опции, позволяющие вам решать, как поступать с просроченными объектами, если нет возможности связаться с исходным веб сайтом.

Вы также можете настраивать процент памяти, которую хотите выделить под кэш. Помните, что кэш памяти значительно быстрее КЭШа диска, однако не стоит забывать и о том, что на самом деле это не «свободная память», и она не настраивается динамически. Если другому процессу понадобится память, размер КЭШа не уменьшится, чтобы освободить память для процесса, которому она требуется.

Forefront tmg аутентификация active directory

Рисунок 7

Когда вы нажмете кнопку Настроить сжатие HTTP, у вас откроется диалоговое окно HTTP сжатие. Обратите внимание, что эта функция включена по умолчанию. Однако нет сетей, которые настроены на Возврат сжатых данных или Запрос сжатых данных. В большинстве случаев вам не придется использовать эту функцию, если только вы не работаете в сценарии последовательных Web Proxy.

Создание сертификата для tmg

Рисунок 8

Когда вы нажмете на ссылку Настроить параметры сервера RADIUS или Настроить параметры сервера LDAP во вкладке Задачи панели задач, у вас откроется диалоговое окно Серверы аутентификации. В диалоговом окне Серверы аутентификации у вас есть вкладки RADIUS серверы и LDAP серверы.

Вы можете настроить свой брандмауэр TMG на использование RADIUS аутентификации для входящих и исходящих подключений. К сожалению, RADIUS сложно управлять, поскольку если вы хотите настроить контроль доступа на групповой основе, вам придется создавать эти группы в Active Directory. Вы не можете создавать собственные TMG группы (также как и в предыдущей версии ISA 2004/2006).

Потенциальным решением этой проблемы является использование LDAP аутентификации. В предыдущих версиях ISA Firewall аутентификация LDAP могла использоваться только для входящих подключений. Я надеялся, что LDAP аутентификация будет поддерживаться для исходящих подключений в TMG, но, по крайней мере, в бета версии это не так. Пока, вы сможете использовать LDAP аутентификацию для входящих (Правило веб публикации) подключений.

Tmg создать сертификат коммандная строка

Рисунок 9

Когда вы нажимаете по ссылке Настроить привилегии DiffServ во вкладке Задачи панели задач, у вас появляется диалоговое окно HTTP DiffServ. DiffServ полезен, если у вас есть инфраструктура маршрутизации, использующая назначение приоритетов пакетам с помощью значений Differentiate Services Code Point (DSCP), которые являются стандартным способом внедрения технологии Quality of Service (QoS) на маршрутных сетях.

Обратите внимание на то, что биты DiffServ могут устанавливаться только для HTTP подключений через TMG. Вы не сможете установить их для подключений, использующих другие протоколы, через Forefront TMG. Эти значения могут настраиваться для URL, доменов и сетей.

Также следует помнить, что TMG может не ретранслировать биты DiffServ на пакетах, которые он получает. Поэтому если за ретранслируемым трафиком TMG с битами DiffServ, заданными для брандмауэра TMG, расположен маршрутизатор, эти биты могут не пропускаться TMG.

3cx forefront tmg

Рисунок 10

Когда вы нажимаете на ссылку Настроить отзыв сертификатов во вкладке Задачи панели задач, у вас открывается диалоговое окно Отзыв сертификатов. По умолчанию используются следующие параметры:

  • Проверять сертификаты входящих клиентов на предмет лишения. Когда этот параметр включен, брандмауэр TMG будет пытаться проверить, что сертификаты пользователя, предоставленные брандмауэру TMG через правило веб публикации для аутентификации не были отозваны.
  • Проверять сертификат входящего сервера на предмет лишения в сценарии ретрансляции (Forward scenario). Этот параметр используется для проверки того, что сертификаты сервера не были отозваны, когда клиенты Web proxy пытаются подключиться к защищенному серверу. Здесь возможны два сценария. В первом за брандмауэром расположен Web Proxy клиент. Во втором брандмауэр TMG сам выступает в роли клиента Web Proxy, как в случае сценария последовательных Web Proxy. В этом случае, входящий трафик осуществляет проверку, чтобы убедиться что исходящий сертификат сервера Web Proxy не был отозван

Здесь есть одна опция, которая не включена по умолчанию:

  • Проверять, что сертификаты входящего сервера не отозваны в обратном сценарии. Когда эта опция включена, брандмауэр TMG будет выполнять проверку того, был сертификат сервера, представленный брандмауэру TMG сервером публикации, отозван. Обратите внимание на то, что эта опция используется только для моста SSL на SSL, поскольку в сценарии моста SSL на HTTP внутренний веб сервер не предоставляет сертификата сервера брандмауэру TMG.

    Публикация внутреннего web сервера на tmg

    Рисунок 11

Резюме

В этой части серии статей о вкладке Web Access Policy консоли брандмауэра TMG мы рассмотрели опции вкладки Задачи панели задач. В следующей, заключительной части этой серии статей мы подробно рассмотрим мастера Web Access Policy Wizard. Увидимся!

www.isaserver.org


Смотрите также:

Tags: , , , ,

Readers Comments (Комментариев нет)




Да человек я, человек! =)




Exchange 2007

Проведение мониторинга Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 3)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Проведение мониторинга Exchange 2007 с помощью диспетчера System ... [+]

Практическое рассмотрение перехода с Exchange 2003 на Exchange 2007 (часть 1)

Введение В этой статье из нескольких частей я хочу показать вам процесс, который недавно использовал для перехода с существующей среды Exchange 2003 ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 2)

Если вы пропустили первую часть этой серии, пожалуйста, прочтите ее по ссылке Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (Часть ... [+]

Мониторинг Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 2)

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Мониторинг Exchange 2007 с помощью диспетчера System Center Operations ... [+]

Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 5)

Если вы пропустили предыдущие части этой серии статей, перейдите по ссылкам: Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 1) ... [+]

Установка и настройка Exchange 2007 из командной строки (Часть 3)

If you missed the previous parts in this article series please read: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 1)

Инструмент ExRCA Текущий выпуск инструмента предоставляется только в целях тестирования и оснащен 5 опциями: Тест подключения Outlook 2007 Autodiscover Тест подключения Outlook 2003 RPC ... [+]

Развертывание сервера Exchange 2007 Edge Transport (часть 5)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Развертывание сервера Exchange 2007 Edge Transport (часть 1) Развертывание ... [+]

Установка и настройка Exchange 2007 из командной строки (часть 2)

Если вы пропустили первую статью данного цикла, пожалуйста, перейдите по ссылке: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование интегрированных сценариев Using Exchange Server 2007 – часть 2: генерирование отчетов агента Transport AntiSpam Agent

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Использование интегрированных сценариев Using Exchange Server 2007 – часть ... [+]